泄露的龐大信息可能會流向黑客產業鏈中

對于蘋果Xcode事件，很多用戶都會有一系列的疑惑，如為何帶有Xcodeghost病毒的Xcode會被廣泛流傳并進入開發者手中？哪些信息遭受了泄露？存在哪些危害？應該如何避免損失？對于用戶的種種疑問，記者邀請了永信至誠CTO張凱為我們解答。同時張凱分析，泄露的龐大信息可能會流向黑客產業鏈中。

蘋果的安全是以其系統的封閉性來保證的，所有用戶下載的APP都會經開發者上傳到APP Store進行審查和發放。但是Xcode Ghost病毒感染的是開發者的開發工具，并且對自己的行為做了偽裝，導致蘋果的審查機制以為這個病毒的要求是開發者的要求而予以放行。由于蘋果的監控僅限于對提交的APP進行安全審核，但是不能監控后續該病毒與病毒作者的服務器的溝通。這也從一個側面暴露出蘋果的審查機制有漏洞，才會讓病毒作者有機可乘。

Xcode Ghost能如此大范圍傳播，主要是和Xcode Ghost的傳播思路有關系。傳播者將被感染的Xcode開發工具上傳到云和離線服務器、bbs等公共下載平臺，因為在國內從蘋果官網下載軟件（Xcode開發工具）速度比較慢，所以很多人因為偷懶就在第三方渠道下載，加上傳播者故意的誘導，從而引發如此大范圍的傳播。

由于Xcode Ghost自身隱藏的比較好，而且一直沒有做惡，只是偽裝成正常APP的請求在默默地往指定服務器傳送用戶數據，因此一直都沒有被發現，但是尚不知具體從什么時候流入到APP Store，也就是說不知道Xcode Ghost運行了多久。

烏云知識庫作者蒸米對注入的病毒樣本“Xcode Ghost”進行了分析，該病毒會收集應用和系統的基本信息，包括時間、 bundle id （包名）、應用名稱、系統版本、語言、國家等，并上傳到 init.icloud-analysis.com （該域名為病毒作者申請，用于收集數據信息），雖然這些信息不算敏感信息，但是不排除這些龐大的信息會流向黑客產業中的可能性。

目前我們分析出了三個潛在威脅。第一，通過DNS劫持來被壞人通過路由器偽造服務器地址，讓用戶信息繼續泄露，同時，還可以通過漏洞給用戶強制安裝APP并偽造短信等；第二，病毒作者的傳播思路很可能會被人學習，為未來更多惡性病毒傳播提供了經驗；第三，病毒原作者可能還做了基于Android開發平臺病毒，和Xcode Ghost類似。所以Android手機用戶也可能已經感染了病毒，而且目前沒有流行的查殺辦法，最好盡快升級最新版APP。

目前據不完全統計，有4400多個應用版本（含一個APP的多個版本）中毒，數字還在增加中，不過這個數字不是蘋果官方公布的，而是安全公司通過技術手段掃描和搜集的。

對于iOS用戶來講，目前最有效的檢測中毒應用的手段是下載盤古團隊開發的Xcode病毒檢測工具。對于開發者和開發公司來講，最有效的檢測方法是下載啟明星辰的檢測工具，或者把APP包上傳到啟明星辰VirusBook.cn進行檢測。如果不考慮換手機的話；第一，需要盡快修改icloud密碼；第二，使用盤古的查殺工具來自檢；第三，及時從APP Store更新官方最新應用。

黑色產業知識鏈接：

黑客可以通過將病毒預置在APP中，竊取手機中我們的個人隱私信息，甚至發送詐騙短信、篡改我們的用戶數據等等。黑客這么做的目的無非是為了獲利，在黑色產業中，大量的用戶信息是可以明碼標價進行售賣的，而上億的用戶信息，其價值無法估量，甚至不排除可以利用這些信息達成一些政治目的的可能性。